Mimecast Logo
Schedule a Demo
Start Free Trial
    Inzichten in cyberbestendigheid
    Alle onderwerpen
    Email Security
    Web Security
    Security Awareness Training
    Brand Protection
    Archive and Data Protection
    Threat Intelligence
    Archief Gegevensbescherming

    Verkiezingen veranderen vooruitzichten voor VS-beleid gegevensbescherming in 2021

    Een nationaal privacybeleid staat op de agenda in Washington, een strenger beleid in Californië is goedgekeurd door de kiezers, en andere staten staan op het punt actie te ondernemen.

    by Karen Lynch
    1191034050.jpg

    Hoofdpunten

    • Veel bedrijven verkiezen een nationaal privacybeleid boven een lappendeken van nationale beleidsmaatregelen.
    • De aanstaande regering-Biden staat open voor de invoering van een alomvattend nationaal beleid inzake gegevensbescherming.
    • Ondertussen hebben staten beleid ontwikkeld, waaronder de nieuwe, strengere Californische wet die de kiezers op de verkiezingsdag hebben goedgekeurd.

    2021 zal naar verwachting nieuwe beleidsvorming, regelgeving en handhaving op het gebied van gegevensprivacy brengen in de VS. Alle ogen zijn gericht op Washington en Californië, waar de recente verkiezingsuitslagen de dynamiek hebben veranderd. Maar ook ontwikkelingen in staten als Massachusetts en New York moeten in de gaten worden gehouden, terwijl de internationale regels inzake gegevensprivacy voor Amerikaanse bedrijven in beweging zijn.

    Veel Amerikaanse bedrijven moeten al voldoen aan verschillende privacyvereisten, op grond van beleid zoals de Amerikaanse Health Insurance and Accountability Act (HIPAA) en de Europese General Data Privacy Regulation (GDPR). Tot nu toe is er in de VS echter nog geen alomvattend beleid inzake gegevensprivacy, en volgens waarnemers zou 2021 wel eens de voorbode kunnen zijn van zo'n nationale wet. Er liggen ook grotere handhavingsinspanningen in het verschiet, met name in het kader van een nieuw privacybeschermingsagentschap in Californië.

    Wanneer de regels inzake gegevensbescherming veranderen, moeten bedrijven het verzamelen, opslaan, delen en beschermen van persoonlijke informatie van hun klanten en werknemers aanpassen, evenals de procedures voor rapportage aan regelgevende instanties. Wanneer de regels worden gehandhaafd, kunnen bedrijven te maken krijgen met boetes, verstoring van hun activiteiten, daarmee verband houdende civiele procedures en reputatieschade.

    E-mailbeheer kan van cruciaal belang zijn voor de naleving van de regelgeving, aangezien zoveel persoonlijke informatie in e-mails wordt verzonden en opgeslagen - en aangezien zakelijke e-mail zo vaak het toegangspunt is voor hackers die persoonlijke informatie willen stelen. Email service providers zoals Mimecast ondersteunen klanten bij het beheren van archieven die voldoen aan de regelgeving, het beveiligen van persoonlijke informatie en het voldoen aan andere vereisten.

    Hier volgt een overzicht van nieuwe ontwikkelingen op het gebied van gegevensprivacybeleid in de VS.

    Washington opent weg naar nieuw privacybeleid

    De verkozen president Joe Biden heeft openlijk zijn steun betuigd voor een alomvattend beleid inzake gegevensbescherming, "niet zoals de Europeanen dat doen". [1] Hoe dat beleid er precies zou uitzien en hoe snel het er zou kunnen komen, als het er al komt, kan afhangen van de politieke partij die in januari de senaat zal controleren.

    Op Capitol Hill circuleren reeds zo'n 30 privacywetsvoorstellen. Het Brookings Institution, een denktank in Washington, schreef onlangs dat "privacywetgeving een onderwerp kan zijn waarbij het Congres en de nieuwe regering op basis van twee partijen kunnen samenwerken". [2]

    Veel bedrijven hebben geklaagd over de lappendeken van nationale beleidsmaatregelen inzake gegevensbescherming in het land. BSA|The Software Alliance heeft onlangs aanbevolen dat de nieuwe regering nauw samenwerkt met het Congres om een nationale privacywet vast te stellen.[3] De Amerikaanse Kamer van Koophandel heeft ook een model voor nationale privacywetgeving gepromoot dat zij heeft ontwikkeld en dat gedeeltelijk is gebaseerd op de GDPR van Europa. [4]

    De handhaving van de gegevensprivacy kan ook toenemen onder een nieuwe regering. De International Association of Privacy Professionals ziet een voorbeeld hiervan in de Federal Trade Commission, die al actief is geweest, maar een verandering in leiderschap zou kunnen meemaken die een krachtiger handhaving met zich meebrengt.[5]

    Californië verdubbelt gegevensbescherming

    In de verkiezingen van 2020 stemden de Californiërs voor Proposition 24, dat de California Consumer Privacy Act (CCPA) versterkt die slechts enkele maanden eerder werd ingevoerd. De nieuwe California Privacy Rights Act van 2020 zal naar verwachting de eisen aanscherpen om het verzamelen van persoonsgegevens tot een minimum te beperken, de archivering ervan te beperken en de beveiliging ervan te waarborgen, terwijl het California Consumer Privacy Agency wordt opgericht om deze eisen af te dwingen.

    Wanneer het nieuwe agentschap in juli 2021 operationeel wordt, moeten bedrijven die zaken doen in Californië risicobeoordelingen en cyberveiligheidscontroles met betrekking tot de bescherming van persoonsgegevens indienen.[6] Een andere verandering is dat de wet de breedste definitie van persoonsgegevens in het land vaststelt, zoals juridische deskundigen het noemen.[7] Tussen bestaande en nieuwe informatiecategorieën varieert de Californische definitie nu van e-mailadressen en de inhoud van sommige e-mail- en sms-berichten, tot socialezekerheidsnummers, geolocatie, filosofische overtuigingen en meer.

    Meer kleine bedrijven kunnen onder de nieuwe regel worden vrijgesteld dan onder de oorspronkelijke CCPA, indien hun jaarlijkse inkomsten of het aantal van hun Californische klanten onder bepaalde drempels vallen. "Toch kunnen kleine bedrijven groter worden - en in dat opzicht is de wet iets om op te merken," meldde Inc. magazine.[8]

    Veel staten maken vorderingen met regulering en handhaving van gegevensbescherming

    Nadat de CCPA in 2018 werd aangenomen, begonnen andere staten dit voorbeeld te volgen. De National Conference of State Legislatures telde onlangs wetsvoorstellen in meer dan 30 staten, maar zei dat velen waren vastgelopen tijdens de COVID-19-pandemie.

    De maatregelen lopen uiteen en kunnen eisen omvatten voor het uitvoeren van risicobeoordelingen, het minimaliseren van de archivering van persoonsgegevens, toezicht om inbreuken op de gegevens te voorkomen en het melden van inbreuken die zich voordoen. Een andere wending is dat de voorgestelde wetgeving van de staat New York zou kunnen gelden voor alle bedrijven, klein en groot, zonder minimumomzet of consumentendrempel zoals in Californië.[9]

    Of deze door de COVID vertraagde maatregelen spoedig weer op gang komen, is een open vraag. Waarnemers zeggen dat sommige staten zullen afwachten wat er in Washington gebeurt.

    Ondertussen neemt de handhaving in sommige staten toe. Zo heeft de procureur-generaal van Massachusetts de afgelopen maanden de oprichting aangekondigd van een Data Privacy and Security Division, die belast is met het onderzoek naar en de handhaving van de Massachusetts Consumer Protection Act en de Data Breach Law ter bescherming van consumentengegevens.

    V.S.-Europese gegevensbeschermingsbepalingen in beweging

    Toen het hoogste gerechtshof van de Europese Unie onlangs het EU-U.S. Privacy Shield Framework, een regel die de trans-Atlantische stroom van gegevens regelt, ongeldig verklaarde, werd gezegd dat onderhandelingen zouden beginnen over een vervanging. Sindsdien is er echter weinig over deze besprekingen vernomen. Intussen hebben Europese ambtenaren publieke opmerkingen verzameld over standaardcontractbepalingen die kunnen worden gebruikt ter vervanging van het schild, dat bedrijven in staat stelde jaarlijks zelf te certificeren dat zij bepaalde beginselen voor de bescherming van persoonsgegevens zouden naleven, onder voorbehoud van handhaving.

    De kern van de zaak

    Verwacht wordt dat de nieuwe presidentiële regering van de VS meer aandacht zal besteden aan gegevensprivacy, waardoor er in 2021 mogelijk een alomvattend nationaal beleid zal zijn. Bedrijven moeten er ook rekening mee houden dat de handhaving zowel op nationaal als op staatsniveau zal toenemen.

     

    [1] "A Look at Where Joe Biden Stands on Key Tech Issues," S&P Global

    [2] "Door het aannemen van voorstel 24 hebben de Californische kiezers de lat hoger gelegd voor de federale privacywetgeving," Brookings Institution

    [3] "BSA Releases Policy Recommendations for Biden-Harris Transition Team," BSA|The Software Alliance

    [4] "U.S. Chamber Releases Model Privacy Legislation, Urges Congress to Pass a Federal Privacy Law," U.S. Chamber of Commerce

    [5] "Wat kan een regering-Biden betekenen voor privacy en cyberveiligheid?", International Association of Privacy Professionals

    [6] "Proposition 24," Government of California

    [7] "Gevoelige persoonlijke informatie - wat is het en wat betekent het voor de naleving van de California Privacy Rights Act?," National Law Review

    [8] "Why Small Businesses Should Ignore California's Newest Data Privacy Law," Inc.

    [9] "Inside the Proposed New York Privacy Act," New York Law Journal

    1175117986.jpg
    Up Next
    Archief Gegevensbescherming |
    De Nieuw-Zeelandse privacywetgeving is veranderd - bent u er klaar voor?

    Verwante Artikelen

    Archief Gegevensbescherming
    Bedrijven lopen steeds meer risico op rechtszaken over gegevensprivacy
    Archief Gegevensbescherming
    Voldoen aan de volgende golf van VS-regelgeving inzake gegevensbescherming
    Archief Gegevensbescherming
    Radicati Recognizes Mimecast for Information Archiving

    Abonneer u op Cyber Resilience Insights voor meer artikelen zoals deze

    Ontvang al het laatste nieuws en analyses over de cyberbeveiligingsindustrie rechtstreeks in uw inbox

    Succesvol aanmelden

    Dank u voor uw inschrijving om updates van onze blog te ontvangen

    We houden contact!

    Terug naar boven